計算機數(shù)據(jù)庫入侵檢測技術(shù)探討

余曉慶 池州市貴池職業(yè)教育中心

1 關(guān)于入侵檢測的相關(guān)知識

計算機安全越來越受到人們的重視，尤其是數(shù)據(jù)庫安全，數(shù)據(jù)庫本身儲存著大量數(shù)據(jù)信息，隱私以及機密文件，使它成為黑客攻擊的重點。入侵檢測是一種對入侵行為的識別過程，它通過對防火墻、路由器等用戶使用狀態(tài)分析包括企圖發(fā)生、正在發(fā)生以及已經(jīng)發(fā)生的入侵行為。入侵檢測技術(shù)的設(shè)計目的是保障計算機數(shù)據(jù)庫系統(tǒng)的安全性，通過實時檢測并報告系統(tǒng)中的未授權(quán)使用以及異常特征的技術(shù)，是計算機系統(tǒng)中的一種安全策略。入侵檢測主要分為主機入侵檢測以及網(wǎng)絡(luò)入侵檢測。入侵檢測系統(tǒng)由采集模塊、分析模塊、以及管理模塊組成，其中采集模塊負(fù)責(zé)數(shù)據(jù)的收集，并導(dǎo)入分析模塊，分析模塊對數(shù)據(jù)進行處理分析，比對已知庫給出判斷以及懷疑數(shù)值，管理模塊依據(jù)分析結(jié)果對可疑事件進行處理。

2 數(shù)據(jù)庫入侵檢測方式

2.1 反常入侵檢測方式

反常入侵檢測主要是通過對用戶使用數(shù)據(jù)庫的行為特征和已知的特征庫進行對比，如果發(fā)生使用習(xí)慣特征偏差，就會判斷為出現(xiàn)了反常入侵情況。這種檢測方法需要建立用戶使用習(xí)慣的特征集，其優(yōu)點在于不依賴于經(jīng)驗擴充，而是采集使用用戶的使用習(xí)慣信息，經(jīng)過數(shù)據(jù)分析系統(tǒng)，以及學(xué)習(xí)系統(tǒng)讓反常入侵掌握規(guī)則和對比庫。

2.2 誤用入侵檢測方式

誤用入侵檢測要首先建立已知攻擊特征模型，并存儲在誤用特征庫內(nèi)，對比用戶的使用行為和誤用特征庫，如發(fā)現(xiàn)一致特征則判斷為誤用入侵行為。這里所說的誤用特征庫需要專業(yè)的數(shù)據(jù)庫維護人員進行定義、刪改及更新，在比較審計數(shù)據(jù)時，具有檢測準(zhǔn)確度高的特點。但所有的規(guī)則都是人為定義的，當(dāng)侵入的攻擊類型不在特征庫內(nèi)則無法對攻擊進行偵測，也就無法檢出入侵行為，具有一定的局限性。反常入侵檢測聯(lián)合使用可以彌補誤用入侵檢測的不足。

3 入侵檢測的模型

3.1 通用入侵檢測模型

通用入侵檢測主要分析CIDF模型，該系統(tǒng)由響應(yīng)單元，事件數(shù)據(jù)庫，事件分析器，以及事件產(chǎn)生器組成，檢測對象GIDO與通用入侵檢測系統(tǒng)各組件進行數(shù)據(jù)信息交換。IDS分析數(shù)據(jù)定義為事件，這些事件可以是日志或網(wǎng)絡(luò)數(shù)據(jù)包等。事件數(shù)據(jù)庫是處理中間數(shù)據(jù)以及最終數(shù)據(jù)的關(guān)鍵部件。響應(yīng)單元是功能單元，可以進行報警，同時還可以進行文件更改以及切斷鏈接等操作。事件發(fā)生器是入侵分析的基礎(chǔ)，能夠指出事件的起源信息，并在系統(tǒng)交換中提供完整事件信息。事件分析器以事件信息為基礎(chǔ)進行比對分析。CIDF模型廣泛用于數(shù)據(jù)庫入侵檢測系統(tǒng)，且在不斷更新完善中。

3.2 層次入侵檢測模型

層次入侵檢測模型將檢測系統(tǒng)劃分為多個不同層次，包括安全狀態(tài)層，上下文層、數(shù)據(jù)層等。該模型對入侵過程涉及的檢測環(huán)境以及入侵層次都進行全面的安全假設(shè)。將原始收集數(shù)據(jù)進行抽象處理，數(shù)據(jù)關(guān)聯(lián)等處理，并模擬主機網(wǎng)路運行狀態(tài)，簡化了單機入侵行為的識別方法。通過分別獲取網(wǎng)絡(luò)監(jiān)聽結(jié)果，主機操作系統(tǒng)的審計記錄以及第三方軟件提供的審計數(shù)據(jù)，并依據(jù)進程以及基帶會話的事件變化特征數(shù)據(jù)，識別網(wǎng)絡(luò)主機的使用用戶情況。

3.3 管理入侵檢測模型

SNMP-IDSM與IDS系統(tǒng)通信采用統(tǒng)一的語言SNMP作為開發(fā)基礎(chǔ)并聯(lián)合進行檢測，找到入侵管理信息庫時抽象事件與原始事件的關(guān)聯(lián)。通過監(jiān)控主機以及IDS事件，一旦檢測到被檢測主機的攻擊企圖，將立即與被攻擊主機建立聯(lián)系，并發(fā)出相關(guān)驗證信息追蹤攻擊源。同時可以利用已有的腳本對被攻擊主機的用戶活動及網(wǎng)絡(luò)活動進行記錄，確定被攻擊主機后提交入侵事件報告。

4 數(shù)據(jù)庫入侵檢測的技術(shù)的不足

數(shù)據(jù)庫入侵檢測的技術(shù)的不足主要表現(xiàn)在：其一誤報率和漏報率較高，檢測過程中設(shè)置很多檢測關(guān)卡，導(dǎo)致一些病毒代碼以及非外部攻擊信息被誤報為侵入威脅，降低了入侵檢測系統(tǒng)識別率。其二入侵檢測效率較低，主要表現(xiàn)在計算機網(wǎng)絡(luò)傳輸數(shù)據(jù)都是二進制代碼，在計算檢測入侵和反入侵時代碼運算復(fù)雜，比對數(shù)據(jù)才能對其進行判斷，對于大規(guī)模的異常檢測耗費的成本較大，導(dǎo)致整體的入侵檢測效率較低。其三自身存在缺陷性，對于誤用入侵檢測方式，特征庫的建立受設(shè)計人員能力、統(tǒng)計數(shù)據(jù)以及更新時效的限制，其自身存在不可控的因素，導(dǎo)致系統(tǒng)存在被入侵的可能。

5 結(jié)束語

數(shù)據(jù)庫入侵檢測技術(shù)在入侵和反入侵的過程中不斷發(fā)展，新的檢測技術(shù)將不斷被開發(fā)出來，向著可學(xué)習(xí)的智能化、模糊化、多層化以及免疫化方向發(fā)展。

[1]李廣潤.計算機數(shù)據(jù)庫入侵檢測技術(shù)應(yīng)用初探[J].山西大同大學(xué)學(xué)報（自然科學(xué)版），2013(03)

[2]楊競?cè)A.計算機數(shù)據(jù)庫入侵檢測技術(shù)的應(yīng)用研究[J].電子技術(shù)與軟件工程，2016(07)